Я немного не понимаю на счёт стороннего скрипта. Разве WordPress, Jumla, DLE - это не сторонние скрипты? Разве каждый сайт состоит только из скриптов и файлов написанных собственноручно владельцем этого сайта? Почему маленький скриптик в 47 строк предствляется более опасным, чем многотонные скрипты CMS-ов, их плагинов, и всего остального?
SeVlad, Ещё раз спасибо.
Стыдно признаться, но не понятно. Мне кажется, что таким способом установленный у клиента скрипт может убедиться, что он общается с нужным сервером. Но у меня проблема обратная: серверу нужно убедиться, что он общается с неизменённым скриптом. Если не трудно, объясните пожалуйста.
Что касается платности, может я ошибаюсь, но мне представляется честнее сразу назначить цены, и держать их постоянными, чем привлечь клиентов бесплатностью, а потом обломать, как говорится. Разве не так?
По поводу опасений "пускать какие-то там сервисы сканить твои файлы", клиент получает один небольшой PHP-скрипт, который он может просмотреть (или попросить просмотреть кого-то понимающего), и убедиться, что в нём нет ничего подозрительного, и что скрипт будет делать именно то, для чего предназначен. Он не предназначен выполнять произвольные команды, получаемые от сервера. Он может только сгенерировать и выдать список файлов и их хешей. Собственно, чтобы не быть голословным, я прикрепил пример такого файла, там всего 47 строк. Имена файлов генерируются разными, для каждого клиента. Таким образом, злоумышленник не сможет обратиться к этому файлу, чтобы к примеру, зря нагрузить сервер, или получить список имеющихся у клиента файлов.
r3al, ещё раз огромное спасибо!
Не умаляя ценности Вашей помощи, хочу всё же привести некоторые рассуждения.
Рассмотрим две ситуации: 1 - хакер не знает о существовании моей системы; 2 - хакер знает о существовании моей системы, и хочет проверить взламываемый им сайт на её наличие там.
1. В первом случае достаточно будет положить мой скрипт куда-то далеко в дереве папок, и вероятность того, что хакер на него случайно наткнётся будет стремиться к нулю.
2. В этом случае, он скорее всего так же будет знать и то, что скрипт возможно спрятан в картинке. Тогда он наверняка зальёт на сайт и запустит скрипт поиска по содержимым файлов, включая картинки, и всё равно найдёт мой скрипт.
Не так ли?
Огромное спасибо, очень интересная мысль. Правда я стараюсь сделать максимально простой в использовании сервис, так сказать, для чайников. Пользователю сейчас нужно только загрузить скрипт на свой сайт, и всё (не надо ни крон делать, ни какие настройки нигде менять, ничего не редактировать). Но я обязательно об этом подумаю.
П.С. Если надумаете воспользоваться сервисом, то обещанный бесплатный год за мной.
Да, это действительно проблема. Я о ней думаю, ищу способ как-то гарантировать, что система получает не сфальсифицированный ответ. Пока что ничего дельного не придумал. Буду весьма признателен, если кто что подскажет.
На данном этапе я рассчитываю на некоторую степень защиты за счёт того, что скрипт у каждого клиента имеет своё уникальное случайное длинное имя, похожее на имена скриптов от Сапы, и возможно хакер просто не заинтересуется этим файлом, и не заподозрит наличие защиты.
SeVlad, Я извиняюсь за слишком развёрнутое первое сообщение. Хотел, чтобы читателям легче было меня правильно понять (видимо получилось наоборот). Постараюсь сформулировать здесь тезисно:
1. Хотя и существуют десятки (или сотни) скриптов, контролирующих неизменность файлов сайта, я подумал, что существуют не очень продвинутые владельцы сайтов, которым удобнее будет не устанавливать, отлаживать, поддерживать локальный скрипт, а воспользоваться сервисом, который будет делать основную работу удалённо.
2. К преимуществам удалённого варианта относится так же и повышенная безопасность, связанная с тем, что при локальном сохранении данных о файлах, хакеру не составит труда, после внедрения вредоноса в определённый файл, изменить сведения о нём в находящейся тут же базе данных файлов.
3. Мой сервис тоже бесплатен на первое время (от месяца до года).
4.а. http://www.revisium.com/ai/ делает не то же, а наоборот хорошо может быть применён в связке с моим сервисом, о чём я упомянул.
4.б. nazamok.com бесплатен только для одной проверяемой страницы, и он проверяет только внешний результат (html), и не может среагировать на залитые на сайт шелы.
Спасибо за ответ и за ссылки!
input submit можно заменить на input image. Тогда ни теней, ни самой кнопки не будет, а будет только картинка с той же функциональностью - при клике по ней, форма будет сабмититься. Если же всё же нужны какие-то очертания кнопки, то их можно пририсовать к самой картинке.
